Вопросы по улучшению (?) догорого реактора
Назрело несколько вопросов по технической части к самому любимому и посещаемому сайту, а именно по настройкам хостинга и прочему. Сразу уточню, что это именно вопросы, и наверняка для большинства (или даже всех нижеперечисленных вещей) могут быть причины "почему они не реализованы":
- HSTS: у нас он выключен. Из плюсов: увеличение безопасности, не даст перехватить и перенаправить пользователя с HTTPS на HTTP, перехватить сессию и куки. Минусы: если реактор часть ресурсов отдает через HTTP, то это их отрубит; если будут проблемы с сертификатом Let's Encrypt (упал/сломался/забыли/не обновился), то доступа к реактору тоже не будет. Включается быстро и без затрат в nginx.
- Referrer-Policy: для реактора с NSFW-контентом — это вопрос приватности пользователей. Минус: если у нас есть партнерские программы или рекламные сети, которые отслеживают источник трафика по Referrer, то этим мы отрежем путь, но оставим домен. Аналогично включается в nginx.
- HTTP/3 (QUIC): тут я в душе не чаю, какова реальная статистика между PC-боярами и мобильными пользователями, но для последних это ускорит загрузку. Основной минус: повышение нагрузки на cpu сервера для шифрования, а с данными реактора это может быть реально заметно. Еще придется открыть по UDP 443 порт. Последние версии nginx это все тоже поддерживают без лишних телодвижений.
Еще есть вопросы по CSP, SNI и отдельный по выбору хостера - но это уже не те вопросы, которые можно/нужно легко и без затрат решить (и стоит ли). И как я понял, у реактора сейчас один сервер с одним айпи, а это по факту одна точка отказа всего. И если я не ошибся по поводу хостера, то он в 2021 году горел буквально и похерил этим часть данных навсегда.
И почему реактор не использует CDN? Даже на бесплатном тарифе нет лимитов на трафик. А если прилетят страйки, то лучше они прилетят CDN, чем сразу хостеру. Ну и плюс не светит айпи и защита от ддос.
